Domein- en forest-functionaliteit

Met behulp van domein- en forest-functionaliteit, die beschikbaar is in AD DS (Active Directory Domain Services) in Windows Server® 2008 R2, kunt u domeinomvattende functies of forest-omvattende Active Directory-functies inschakelen in uw netwerkomgeving. Afhankelijk van de netwerkomgeving zijn er verschillende niveaus van domeinfunctionaliteit en forest-functionaliteit beschikbaar.

Als op alle domeincontrollers in uw domein of forest Windows Server 2008 R2 wordt uitgevoerd en het domein- en forest-functionaliteitsniveau is ingesteld op Windows Server 2008 R2, zijn alle domeinomvattende en forest-omvattende functies beschikbaar. Wanneer uw domein of forest domeincontrollers met Windows® 2000, Windows Server 2003 of Windows Server 2008 bevat, is er slechts een beperkt aantal Active Directory-functies beschikbaar. Zie Het functionaliteitsniveau van het domein verhogen en Het functionaliteitsniveau van het forest verhogen voor meer informatie over het inschakelen van domeinomvattende of forest-omvattende functies.

Domeinfunctionaliteit

Domeinfunctionaliteit maakt het mogelijk functies te gebruiken die alleen van invloed zijn op het hele domein. In Windows Server 2008 R2 AD DS zijn vier domeinfunctionaliteitsniveaus beschikbaar: Windows 2000 (native modus), Windows Server 2003 (de standaardinstelling), Windows Server 2008 en Windows Server 2008 R2.

De volgende tabel bevat een overzicht van de domeinfunctionaliteitsniveaus en de bijbehorende domeincontrollers die daarbij worden ondersteund:

Domeinfunctionaliteitsniveaus Ondersteunde domeincontrollers

Windows 2000 (native modus)

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Wanneer u het domeinfunctionaliteitsniveau verhoogt, kunt u in het domein geen domeincontrollers opnemen waarop eerdere besturingssysteemversies worden uitgevoerd. Als u bijvoorbeeld het domeinfunctionaliteitsniveau verhoogt tot Windows Server 2008 R2, kunt u aan het domein geen domeincontrollers toevoegen waarop Windows Server 2008 wordt uitgevoerd.

In de volgende tabel worden de domeinomvattende functies beschreven die beschikbaar zijn voor de domeinfunctionaliteitsniveaus van Windows Server 2008 R2 AD DS.

Domeinfunctionaliteitsniveau Ingeschakelde functies

Windows 2000 (native modus)

Alle standaardfuncties van Active Directory en de volgende functies:

  • Universele groepen kunnen worden gebruikt voor distributiegroepen en beveiligingsgroepen.

  • Groepen kunnen worden genest.

  • Groepsconversie is ingeschakeld, waardoor conversie tussen beveiligingsgroepen en distributiegroepen mogelijk is.

  • SID-historie (beveiligings-id).

Windows Server 2003

Alle standaardfuncties van Active Directory, alle functies van het domeinfunctionaliteitsniveau Windows 2000 (native modus), plus de volgende functies:

  • Met het domeinbeheerprogramma Netdom.exe kan de naamwijziging van domeincontrollers worden voorbereid.

  • Bijwerken van het aanmeldingstijdstempel. Het laatste aanmeldingstijdstip van de gebruiker of computer wordt bijgewerkt in het kenmerk lastLogonTimestamp. Dit kenmerk wordt binnen het domein gerepliceerd.

  • Het kenmerk userPassword kan worden ingesteld als effectief wachtwoord voor het object inetOrgPerson en gebruikersobjecten.

  • De containers Gebruikers en Computers kunnen worden omgeleid. Standaard zijn er twee bekende containers beschikbaar voor het onderbrengen van computer- en gebruikers-/groepsaccounts: cn=Computers,<hoofddomein> en cn=Gebruikers,<hoofddomein>. Hierdoor is het mogelijk een nieuwe bekende locatie voor deze accounts op te geven.

  • De regels voor autorisatiebeleid van Autorisatiebeheer kunnen worden opgeslagen in AD DS.

  • Beperkte delegering is mogelijk, waardoor toepassingen kunnen profiteren van de beveiligde delegering van gebruikersreferenties door middel van het Kerberos-verificatieprotocol. U kunt de delegering zo configureren dat deze alleen is toegestaan naar bepaalde bestemmingsservices.

  • Selectieve verificatie wordt ondersteund, waardoor het mogelijk is de gebruikers en groepen uit een vertrouwd forest op te geven die zich mogen aanmelden bij bronservers in een forest waarmee een vertrouwensrelatie bestaat.

Windows Server 2008

Alle standaardfuncties van Active Directory, alle functies van het domeinfunctionaliteitsniveau Windows Server 2003, plus de volgende functies:

  • DFSR-ondersteuning (Distributed File System Replication) voor SYSVOL, waardoor een betrouwbaardere en gedetailleerdere replicatie van de inhoud van SYSVOL mogelijk is.

  • AES-ondersteuning (Advanced Encryption Services) (AES 128 en 256) voor het Kerberos-verificatieprotocol.

  • Last Interactive Logon Information, waarmee informatie kan worden weergegeven over het tijdstip van de laatste geslaagde interactieve aanmeldingspoging van een gebruiker, het betrokken werkstation en het aantal mislukte aanmeldingspogingen sinds de laatste aanmelding.

  • Fijnmazig wachtwoordbeleid, waardoor wachtwoordbeleid en accountvergrendelingsbeleid kan worden opgegeven voor gebruikers en globale beveiligingsgroepen in een domein.

Windows Server 2008 R2

Alle standaardfuncties van Active Directory, alle functies van het domeinfunctionaliteitsniveau Windows Server 2008 plus de volgende functies:

  • Controle van het verificatiemechanisme, waarmee gegevens worden verzameld over het type aanmeldingsmethode (smartcard of gebruikersnaam/wachtwoord) dat wordt gebruikt om domeingebruikers te verifiëren binnen het Kerberos-token van elke gebruiker. Wanneer deze functie wordt ingeschakeld in een netwerkomgeving waarin een infrastructuur voor het beheer van federatieve id's is geïmplementeerd, zoals AD FS (Active Directory Federation Services), kunnen de gegevens telkens uit het token worden opgehaald wanneer een gebruiker een claimbewuste toepassing probeert te openen die is ontwikkeld om autorisatie te bepalen op basis van de aanmeldingsmethode van een gebruiker.

Forest-functionaliteit

Door middel van forest-functionaliteit kunnen functies voor alle domeinen in het forest worden ingeschakeld. Er zijn vier forest-functionaliteitsniveaus beschikbaar in het besturingssysteem Windows Server 2008 R2: Windows 2000, Windows Server 2003 (standaardinstelling), Windows Server 2008 en Windows Server 2008 R2.

De volgende tabel bevat een overzicht van de forest-functionaliteitsniveaus die beschikbaar zijn in Windows Server 2008 R2 en de bijbehorende ondersteunde domeincontrollers:

Forest-functionaliteitsniveau Ondersteunde domeincontrollers

Windows 2000

Windows NT® 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (standaardinstelling)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Wanneer u het forest-functionaliteitsniveau verhoogt, kunt u in het forest geen domeincontrollers opnemen waarop eerdere besturingssysteemversies worden uitgevoerd. Als u het forest-functionaliteitsniveau bijvoorbeeld verhoogt tot Windows Server 2008 R2, kunt u aan het forest geen domeincontrollers toevoegen waarop Windows Server 2008 wordt uitgevoerd.

In de volgende tabel worden de forest-omvattende functies beschreven die beschikbaar zijn voor de forest-functionaliteitsniveaus Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2.

Forest-functionaliteitsniveau Ingeschakelde functies

Windows Server 2003

Alle standaardfuncties van Active Directory, plus de volgende functies:

  • Forest-vertrouwensrelatie

  • Domeinnaamwijziging

  • Replicatie met gekoppelde waarden (wijzigingen in het groepslidmaatschap worden opgeslagen en gerepliceerd als waarden voor afzonderlijke leden in plaats van voor het hele lidmaatschap als geheel). Hierdoor is minder netwerkbandbreedte en processorcapaciteit nodig tijdens de replicatie en wordt uitgesloten dat updates verloren gaan wanneer verschillende leden tegelijkertijd op verschillende domeincontrollers worden toegevoegd of verwijderd.

  • Er kan een alleen-lezen domeincontroller (RODC) worden geïnstalleerd waarop Windows Server 2008 wordt uitgevoerd.

  • Verbeterde algoritmen en schaalbaarheid voor KCC (Knowledge Consistency Checker). De intersitetopologiegenerator (ISTG) maakt gebruik van verbeterde algoritmen die schaalbaar zijn voor gebruik met forests met een groter aantal sites dan door het forest-functionaliteitsniveau Windows 2000 kunnen worden ondersteund.

  • Er kunnen exemplaren van de dynamische hulpklasse dynamicObject worden gemaakt in een domeinmappartitie.

  • Een exemplaar van het object inetOrgPerson kan worden omgezet in een exemplaar van het object User, en andersom.

  • Er kunnen exemplaren worden gemaakt van de nieuwe groepstypen basistoepassingsgroepen en groepen voor LDAP-query's (Lightweight Directory Access Protocol), ter ondersteuning van autorisatie op basis van rollen.

  • Kenmerken en klassen in het schema kunnen worden gedeactiveerd en opnieuw gedefinieerd.

Windows Server 2008

Dit functionaliteitsniveau voorziet in alle functies die beschikbaar zijn voor het forest-functionaliteitsniveau Windows Server 2003, maar biedt geen aanvullende functies. Standaard wordt voor alle domeinen die daarna aan het forest worden toegevoegd, echter het domeinfunctionaliteitsniveau Windows Server 2008 gebruikt.

Windows Server 2008 R2

Alle functies die beschikbaar zijn voor het forest-functionaliteitsniveau Windows Server 2003, plus de volgende functies:

  • Active Directory-prullenbak waarmee verwijderde objecten in hun geheel kunnen worden hersteld terwijl AD DS wordt uitgevoerd.

Standaard wordt voor alle domeinen die daarna aan het forest worden toegevoegd, het domeinfunctionaliteitsniveau Windows Server 2008 R2 gebruikt.

Als u in het hele forest alleen domeincontrollers met Windows Server 2008 R2 gaat gebruiken, kunt u dit forest-functionaliteitsniveau kiezen om het beheer te vergemakkelijken. Als u dit doet, hoeft u nooit het domeinfunctionaliteitsniveau te verhogen voor de domeinen die u in het forest maakt.

Aanvullende naslaginformatie


Inhoudsopgave